本文档提供了若干一般安全准则,来帮助您保护 Oracle 服务器、服务器网络接口及其连接的网络交换机。
本部分介绍了使用所有硬件和软件时应遵循的四个基本安全原则:访问、验证、授权和记帐。
访问
访问是指对硬件的物理访问,或对软件的物理或虚拟访问。
使用物理和软件控制措施来保护硬件和数据免遭入侵。
请参阅软件随附的文档,启用可用于软件的任何安全功能。
将服务器和相关设备安装在带锁并限制随意出入的房间内。
如果设备安装在带有门锁的机架中,除非必须维修机架内的组件,否则请始终锁上机架门。
限制人员接近连接器或端口,这些位置可以提供比 SSH 连接更强大的访问。系统控制器、配电设备 (power distribution unit, PDU) 和网络交换机之类的设备都有连接器和端口。
尤其要限制人员接近热插拔或热交换设备,因为这些设备可以轻易被移除。
在带锁的机柜中存储备用的现场可更换单元 (field-replaceable unit, FRU) 和客户可更换单元 (customer-replaceable unit, CRU)。仅限经授权的人员接近带锁机柜。
验证
验证是指确保硬件或软件的用户与其表明的身份相符。
在平台操作系统中设置验证功能(如密码系统)以确保用户与其表明的身份相符。
确保人员正确使用员工胸卡进入机房。
对于用户帐户:酌情使用访问控制列表;对冗长会话设置超时;为用户设置特权级别。
授权
授权是指对人员使用硬件或软件施加的限制。
只允许人员使用他们经过培训并有资格使用的硬件和软件。
建立一套读/写/执行权限制度,以控制用户对命令、磁盘空间、设备和应用程序的访问。
记帐
记帐是指用于监视登录活动和维护硬件清单的软件和硬件功能。
使用系统日志来监视用户登录。尤其要监视系统管理员和服务帐户,因为这些帐户可以访问功能强大的命令。
记录所有硬件的序列号。使用组件序列号来跟踪系统资产。Oracle 部件号以电子方式记录在卡、模块和主板上,并可用于盘点目的。
为了检测和跟踪组件,为计算机硬件的所有重要物项(如 FRU)提供安全标记。使用特殊的紫外线笔或压纹标签。